O texto publicado na Lxer aborda a privacidade num mundo onde a criptografia é cada vez mais comum, mas as chaves de criptografia são frequentemente controladas por grandes empresas de tecnologia.
O artigo compara a abordagem do Google (Android) e da Apple, mostrando que mesmo em sistemas de código aberto, a privacidade pode ser comprometida devido a modificações proprietárias.
A criptografia oferece uma falsa sensação de segurança quando as chaves são controladas por terceiros.
Mesmo com dados criptografados, as empresas podem coletar e analisar informações sem o conhecimento do usuário.
Os usuários não têm visibilidade sobre os dados coletados, enquanto as empresas possuem controle total, criando uma relação de desequilíbrio.
O problema não se restringe a uma ou outra empresa, mas a todo um ecossistema de aplicativos que coletam dados criptografados.
Aqueles, juntamente com os desenvolvedores de código aberto, são especialmente vulneráveis, pois dependem da boa fé das empresas e não podem auditar o código e os dados.
O autor sugere que a conscientização, o apoio a alternativas de código aberto e a pressão por mais transparência são os caminhos para garantir a privacidade do usuário.
A chave UEFI fornecida por terceiros
A chave UEFI (Unified Extensible Firmware Interface) pode ser considerada uma chave criptográfica, que permite um boot seguro, gerando e verificando assinaturas digitais, o que envolve criptografia assimétrica.
A chave serve como um mecanismo de autenticação, que garante a integridade dos componentes do sistema e a confiança na origem do software.
Ao verificar a assinatura de cada componente, a chave UEFI ajuda a prevenir a instalação de rootkits e outros tipos de malware que podem comprometer o sistema antes mesmo do sistema operacional carregar.
A questão de quem controla a chave UEFI é complexa e depende de diversos fatores, incluindo o fabricante do dispositivo, o sistema operacional e as políticas de segurança implementadas. No geral, é gerada e armazenada dentro do firmware do dispositivo, o que significa que o fabricante tem um alto grau de controle sobre ela.
O fabricante geralmente tem o primeiro acesso e controle sobre a chave durante o processo de fabricação. Eles podem definir as configurações de segurança iniciais e determinar quais componentes do sistema são autorizados a carregar.
Terceiros podem introduzir portas traseiras ou vulnerabilidades na chave UEFI durante o processo de fabricação ou em atualizações de firmware. Isso pode permitir que atacantes obtenham acesso não autorizado ao sistema.
Empresas podem usar a chave UEFI para bloquear a instalação de software não autorizado, limitando as opções do usuário e impedindo a instalação de software livre ou de código aberto.
Ela também pode ser usada para controlar o hardware do dispositivo, limitando suas funcionalidades e/ou impedindo a instalação de determinados componentes.
Fabricantes podem usar atualizações de firmware para modificar a chave UEFI e introduzir mudanças indesejadas no sistema, como a coleta de dados ou a exibição de anúncios.
Os usuários podem não ter conhecimento das mudanças implementadas nas atualizações de firmware, o que pode levar à perda de privacidade e segurança.
A gestão da chave UEFI por terceiros apresenta riscos significativos para a privacidade e segurança dos usuários. É fundamental que os usuários estejam cientes desses riscos e adotem medidas para mitigá-los.
Fonte: links no texto